¿Preparados para el Black Friday? Estos son los ciberataques que más se repiten

Hace años que el Black Friday se sitúa como una de las fechas señaladas por el sector retail y los consumidores en su calendario. En unos días el volumen de compras se multiplicará hasta cifras insospechadas (cada año se superan las predicciones por lo que hablar de cifras parece ya innecesario). Y es que, la cifra que nos interesa a pocos días de que lleguen los millones de ofertas y de compras es la siguiente: Solo el 26% de las empresas de retail son capaces de detener un ataque de ransomware en curso. O esta: Las transacciones digitales sospechosas de estafa aumentan casi un 30% en España. Son cifras extraídas del último informe elaborado por Sophos sobre ciberataques al sector retail y el informe publicado por TransUnion, en el que analiza las tendencias de fraude digital, respectivamente.

Si a esto le unimos que, según establece el último informe de Akamai “Resumen del año: Una mirada a las cibertendencias de 2023 y lo que está por venir” las historias de seguridad más interesantes del año”, el comercio sigue siendo el principal sector objeto de los ataques a aplicaciones web y API, cuya cifra ya supera los 6500 millones (respecto a 4600 millones, un aumento del 41 %).

Los hogares españoles gastarán hasta 284 euros en Black Friday, un 35% más respecto al pasado año según una reciente encuesta de Milanuncios y Appinio. En este contexto, los ciberdelincuentes se frotan las manos a la espera de conseguir muchas víctimas de forma rápida y sin apenas esfuerzo. De hecho, tal y como asegura Jorge Sanz, director del ‘Máster FP en Ciberseguridad’ en el Centro Universitario U-tad, "debemos extremar las precauciones estos días, especialmente en los momentos clave como el Black Friday y el Cyber Monday, porque está comprobado que este tipo de ciberdelitos aumenta considerablemente. Siempre reflexionar, comparar y verificar antes de comprar, y también (muy importante) antes de pinchar en cualquier enlace"

Por ello, en el reportaje de hoy, analizamos, de la mano de Sanz, los distintos ataques a los que se enfrentan usuarios y empresas en el Black Friday y algunos consejos para evitarlos:

- Tiendas online fraudulentas: en estas fechas en las que se utiliza más que nunca el comercio online, los cibercriminales suelen crear aplicaciones web falsas, ya sean tiendas inventadas o copias de franquicias ya existentes, donde el usuario, atraído por ofertas irresistibles y a un precio mucho menor, cae en su trampa. Lo recomendable es siempre asegurarse de que la tienda es legítima, buscando información en Google y, en caso de que sea un nombre comercial conocido, revisar desde dónde y cómo nos ha llegado la información y validarla en Internet. En muchas ocasiones, los hackers envían SMS donde redirigen a la gente a dichas aplicaciones fraudulentas. Asimismo, es importante recordar que no se debe dar nunca el número de tarjeta ni teclearlo en aplicaciones que no sean conocidas.

- Phishing: se trata de una de las técnicas más antiguas y fáciles de realizar por un delincuente. Este ataque consiste en engañar a un usuario haciéndose pasar por una persona, empresa o servicio que inspire confianza. Puede ser un banco, una compañía de servicio de streaming o un familiar. Se crea un mensaje falso que suene convincente y que requiera una acción inmediata. Este tipo de mensajes, además, añaden un link a una página web falsa creada por el atacante con el objetivo de ver todos los datos que se hayan introducido por los usuarios. Este tipo de ciberataque se suele enviar de forma masiva por correo electrónico para que alguien caiga en la trampa. En los últimos tiempos se han detectado también estafas a los usuarios de una popular plataforma de venta de segunda mano que usa esta técnica para redirigirles a un sitio falso y así comprometer su seguridad. Para no morder el anzuelo, se recomienda acceder al servicio por medio del navegador, sin utilizar ningún link que haya en ningún mensaje, parezca o no legítimo.   

- Vishing: este es un ciberataque relativamente reciente que consiste en recibir una llamada telefónica en el que se hacen pasar por alguna empresa como las que comentábamos anteriormente para obtener información confidencial sobre un usuario. Lo peor de esta estafa es que la víctima se pone más nerviosa por tratarse de una llamada telefónica y tiende a dar más información de la que debería. Así que, si nos llaman desde un banco o cualquier otra compañía pidiéndonos datos personales, por muy urgente que parezca ser el trámite que se deba hacer, lo mejor será colgar y llamar personalmente al teléfono de atención al cliente para confirmar de qué se trata.

- Sim swapping (duplicado de tarjeta SIM): tras haber hecho un robo de identidad con alguno de los ataques mencionados anteriormente, el atacante se hace pasar por una víctima para solicitar un duplicado de su tarjeta SIM, para conseguirla, muchas veces es suficiente con llamar a la compañía de teléfono y dar el DNI junto con el nombre completo. Con ella, el malhechor se puede hacer pasar por el usuario en numerosos servicios, confirmar códigos de verificación y hasta realizar compras. Si recibimos uno de estos mensajes de confirmación con un código de seguridad que no haya sido solicitado por nosotros, cuidado. Normalmente este mensaje no va a ser un error y lo mejor será llamar a la compañía telefónica para anular el duplicado de la tarjeta.

- Bizum inverso: se trata de un servicio gratuito que permite enviar y recibir dinero de móvil a móvil, sin necesidad de números de cuenta, pero donde no sólo se pueden hacer pagos, sino que también se pueden realizar solicitudes de dinero. Esta segunda opción no es muy conocida por el gran público, y es la que usan los ciberdelincuentes en plataformas de venta de segunda mano para estafar. Muestran interés en comprar un artículo y acuerdan hacer el pago a través de este medio, pero en lugar de mandar el dinero, remiten una solicitud de pago, donde la víctima (vendedor) en realidad está autorizando una transferencia por el importe de su cuenta a la del estafador.

- Robo de identidad aprovechándose de una filtración de datos: Los ciberdelincuentes están siempre buscando brechas de seguridad -sobre todo en  webs ‘jugosas’ como grandes comercios online o redes sociales- para entrar y obtener cuentas de usuario y contraseñas. Una vez se hacen con ellos pueden utilizarlos para suplantarnos, venderlos o publicarlos en Internet, por lo que puede suceder que pasado un tiempo de esa filtración otro atacante distinto use los mismos datos para cualquier otro timo o suplantación. Para protegerse de este tipo de ataques, es recomendable crear una contraseña diferente para cada sitio y, cada cierto tiempo, comprobar si nuestra dirección de email está comprometida -puedes hacerlo en la página web https://haveibeenpwned.com/-. Si resulta que sí lo está, deberemos cambiar la contraseña no solo en ese sitio, sino que en todos en los que uses la misma clave o un derivado de ella.

Por su parte, Luis Corrons, Security Evangelist de Avast, avisa: “Los ataques a contraseñas suelen ser los más comunes y buscan hacerse con nuestras contraseñas para acceder a nuestras cuentas o identidades. Por otro lado, los ataques por ingeniería social imitan o suplantan la identidad de una persona, organización o empresa, para confundir a la potencial víctima para que visite una web o facilite sus datos”. Entre las recomendaciones de Avast para comprar por Internet de forma segura se encuentran:

- Busca signos de legitimidad en el sitio web: cuando navegues por una página web, busca indicios de que la tienda es verdadera. Puedes confirmarlo revisando su dirección física y el número de teléfono de la tienda, su política de privacidad y su información sobre el servicio de atención al cliente. Otro punto clave son las opiniones de otros usuarios. Si una web no tiene feedback de los clientes, sospecha.

- Investiga sobre el producto: a través de una búsqueda rápida en Google podemos ver las opiniones de otros usuarios sobre el producto y confirmar que es autentico. La web del fabricante del producto también es un buen recurso para confirmar que el producto existe.

- Visita solo sitios web oficiales: es muy importante comprar solo en sitios web de confianza, es decir, ceñirnos a tiendas conocidas y evitar sitios desconocidos que ofrecen precios demasiado buenos.

- Desconfía de las ofertas demasiado bonitas para ser verdad: si el precio de un producto es extremadamente bajo, tómatelo como una señal de alarma. Desconfía de los precios más bajos de lo normal y compara varias webs antes de comprar.

- Asegúrate de utilizar métodos de pago seguros: evita métodos como las transferencias bancarias que son difíciles de rastrear y muy poco seguras. Utiliza siempre tarjeta de pago o servicios de pago en línea seguros como PayPal. Estos métodos proporcionan más protección para tus datos personales y financieros.

- No almacenes información de pago: después de completar una compra online, a menudo figura la opción de que el usuario cree una cuenta y almacene su información de pago con el vendedor. Por regla general, rechaza este tipo de peticiones, ya que, si el sitio web tiene algún problema de ciberseguridad, tus datos podrían ser expuestos.

- Mantén el anonimato: hay opciones para poder navegar mediante una conexión encriptada para ocultar la dirección IP y evitar que los ciberdelincuentes vean cualquier dato personal. La herramienta para hacer esto es la denominada VPN como es Avast SecureLine VPN. Con ella, tus credenciales de inicio de sesión, tus datos bancarios y tu identidad permanecerán protegidos. 8. Utiliza un navegador avanzado: Avast Secure Browser está disponible de forma gratuita y está repleto de herramientas y servicios útiles como su bloqueador de anuncios, seguridad anti-phishing y anti-seguimiento, seguridad antihuellas o Webcam Guard. Además, este navegador incluye el modo de banco, una función que protege las cuentas bancarias y evita que los piratas informáticos y otros ciberdelincuentes obtengan información personal y se infiltren en tus cuentas.

- Mantén el software actualizado: los atacantes normalmente explotan vulnerabilidades que se encuentran en los softwares desactualizados. Al explotar dichas vulnerabilidades, pueden infectar los dispositivos y robar información personal mientras se realizan compras online.

 “No debemos olvidar que lo que está en juego es nuestro dinero y que, al igual que lo haríamos en una tienda física, hay que analizar la legitimidad de la venta ya que los ciberdelincuentes son astutos en sus métodos y cada vez perfeccionan más sus técnicas. Antes de darle al botón de comprar, no olvides comprobar la URL del sitio y verificar que estás donde crees estar” recuerda Corrons.